El Ministerio de Defensa (MoD) ha revelado que ha ampliado una iniciativa de seguridad defensiva existente con HackerOne, especialista en pruebas de penetración y piratería ética, para incluir a algunos de sus proveedores clave. El alcance original del programa de seguridad defensiva del Ministerio de Defensa incluía un programa de divulgación de vulnerabilidades (VDP) que pagaba recompensas por errores a través de HackerOne, aprovechando la creatividad y la experiencia de la comunidad de hackers para ayudar a proteger algunos de los activos digitales más críticos del gobierno del Reino Unido. Desde su lanzamiento en 2021, más de 100 piratas informáticos éticos han estado ocupados “atacando” los sistemas del Ministerio de Defensa, identificando y solucionando vulnerabilidades para mejorar su postura de seguridad cibernética. «La decisión de asociarse con HackerOne y aprovechar su comunidad de hackers éticos fue parte de un compromiso de toda la organización para construir una cultura de transparencia y colaboración para mejorar la seguridad nacional», dijo Paul Joyce, gerente de proyectos de investigación de vulnerabilidades del Ministerio de Defensa. «Nuestros socios piratas informáticos nos están ayudando a identificar áreas donde necesitamos fortalecer nuestras defensas y proteger nuestros activos digitales críticos de amenazas maliciosas». Christine Maxwell, CISO del Ministerio de Defensa, añadió: “Trabajar con la comunidad de piratería ética nos permite aportar perspectivas más diversas para proteger y defender nuestros activos. Comprender dónde están nuestras vulnerabilidades y trabajar con la comunidad de piratería ética más amplia para identificarlas y solucionarlas es un paso esencial para reducir el riesgo cibernético y mejorar la resiliencia”. El Ministerio de Defensa espera que al incluir proveedores clave dentro del VDP, pueda ayudar a fomentar la difusión de mejores prácticas a través de su cadena de suministro y tal vez implementar sus propios programas. Dijo que su objetivo a largo plazo era que todas las empresas con las que se asocia administraran sus propios VDP. Entre los proveedores que ya han participado en el programa ampliado se encuentra Kahootz, que suministra servicios de plataforma de colaboración de software como servicio en la nube a organizaciones públicas y del tercer sector. «El VDP de Kahootz demuestra nuestro compromiso proactivo para identificar y abordar rápidamente posibles debilidades de seguridad para mantener los más altos estándares de seguridad para los usuarios», dijo Peter Jackson, director de tecnología de la organización. “El VDP nos ha permitido identificar y abordar vulnerabilidades antes de que puedan ser explotadas maliciosamente. Nuestra colaboración con el Ministerio de Defensa y HackerOne ha facilitado el intercambio de conocimientos y las mejores prácticas en seguridad cibernética, contribuyendo a la mejora continua y al aumento de la confianza de nuestros clientes. “Hemos desarrollado un enfoque colaborativo con los piratas informáticos de nuestro programa que acelera las soluciones, fomenta la confianza y mejora la seguridad. Kahootz sigue comprometido a fortalecer la seguridad de nuestra plataforma a través de la transparencia y el compromiso continuo con la comunidad de seguridad”, agregó Jackson. Marten Mickos, director ejecutivo de HackerOne, dijo: “El Ministerio de Defensa es pionero en prácticas de seguridad cibernética. El Ministerio de Defensa ha contado con la ayuda de los defensores más formidables (los hackers éticos) para resolver problemas de seguridad y burlar a los actores de amenazas. Desde el programa de divulgación de vulnerabilidades hasta el desafío de recompensas por errores en vivo, los piratas informáticos han ayudado al Ministerio de Defensa a encontrar y corregir vulnerabilidades antes de que los adversarios puedan detectarlas y explotarlas”. Desafío de la Academia de Defensa El programa ampliado también incluyó un desafío de recompensa de errores en persona celebrado en la Academia de Defensa del Ministerio de Defensa en Swindon. Algunos de los hackers de mayor rendimiento que trabajaban en el plan, 15 en total, fueron invitados a evaluar y mejorar la postura de seguridad de la Academia de Defensa. En el evento, los piratas informáticos se centraron en demostrar sus habilidades y su pensamiento lateral contra una amplia superficie de ataque de sistemas conectados a Internet y fuera de Internet, además de desafiar viejas formas de pensar y derribar barreras. Además de descubrir y asesorar sobre una serie de vulnerabilidades (que no se pueden revelar aquí), el evento también ofreció al Ministerio de Defensa más seguridad sobre sus medidas cibernéticas existentes a través de informes de guiones gráficos que detallaban los enfoques que probaron los piratas informáticos. Muchas de ellas, afirmó el Ministerio de Defensa, finalmente no tuvieron éxito gracias a las medidas defensivas existentes. «Las pruebas en el Ministerio de Defensa son un desafío fascinante y nunca te aburres», dijo un hacker involucrado en el programa. “El Ministerio de Defensa tiene visión de futuro en su enfoque de la seguridad cibernética, y poder pasar tiempo con el equipo de la Academia de Defensa fue una oportunidad única para aprender más sobre cómo el Ministerio de Defensa protege sus sistemas. «Sé que cuando encuentro un error en un programa gubernamental, estoy impactando directamente a los ciudadanos, haciendo que su vida digital sea un poco más segura, y eso se siente bien», dijeron.

Source link